pioneer
超级版主
积分 4563
发帖 4545
注册 2007-7-16 来自 BJ
|
#2
病毒分析:
1、病毒运行后,解析网络地址,进行套接字通信,连接远端网络188.229.***.3/click3r_ghurtyjmaroaq.exe;
2、在C:\WINDOWS\Temp目录下创建文件_ex-68.exe,将从远端网络下载的文件写入该文件,然后创建进程运行下载的病毒文件;
3、运行完_ex-68.exe后,病毒程序接着进行套接字通信,连接无端网络109.196.***.134/flash.exe;
4、在C:\WINDOWS\Temp目录下创建文件_ex-08.exe,将从远端网络下载的文件写入该文件,然后创建进程运行下载的病毒文件;
病毒创建文件:
C:\WINDOWS\Temp\_ex-68.exe
C:\WINDOWS\Temp\_ex-08.exe
病毒访问网络:
188.229.***.3/click3r_ghurtyjmaroaq.exe
109.196.***.134/flash.exe
|
※文章所有权归【pioneer】与【东方微点论坛】共同所有,转载请注明出处!※
|
|
|